吴作鹏：信任体系远未成型 电子签名属早产

　　吴作鹏

　　计世网综合消息 在延续了数千年的“白纸黑字”、“盖章压印”之后，一部法律将一种新的“签合同、做定单”方式推到企业面前。2005年4月1日，《中华人民共和国电子签名法》和《电子认证服务管理办法》正式实施，一纸公文是否能够代替乃至掀去人们的旧有习惯？我们的生活，是否将因此而改变？

打造校园生活第一黄页 免费点歌 免费堂会 公益歌曲大擂台 缤纷下载俱乐部

　　电子签名“早产”？

　　2005年4月1日，《中华人民共和国电子签名法》(以下简称《签名法》)和《电子认证服务管理办法》(简称《管理办法》)正式实施，争论三年之久的种种观点由此尘硝落定。

　　2002年5月，国务院信息化领导小组启动电子签名法律的起草工作，2003年4月，国务院法制办会同信息产业部、国务院信息化办公室，正式接手《中华人民共和国电子签名法(草案)》的起草工作，2004年4月2日，这份草案提交第十届全国人民代表大会常务委员会第八次会议进行了初步审议，经过修改后，最终于2004年8月28日在第十届全国人民代表大会常务委员会第十一次会议审议通过。

　　在电子签名出现之前，企业习惯于使用书面形式的盖章和手写签名进行商务活动，而使用电子签名在虚拟世界中获得同于物理世界中盖章和签名效力的认证、鉴别标志，成为《签名法》第一目标，那么，4月1日正式生效的《签名法》，又将怎样改变我们的生活？

　　资金衡量法律？

　　节约成本、提高效率，成为推动电子签章发展的最大诱惑，也是支持者们最大的谈资，但是这些良好的案例，是否就能够获得普遍的认同？

　　最简单的事实是，电子商务的迅猛发展推动了一系列相关的立法需求。

　　1993年，第一家网络公司在纳斯达克上市，随后大批网络科技公司跟进入市，掀开了网络概念股的攀升潮。纳斯达克指数由1993年的600余点坐飞机般地上升到2000的5048.62点，8年内攀升8倍的现象，让习惯了纳斯达克指数缓慢攀升的金融分析师们感到惊恐，也感到兴奋；毕竟，从1971年开始以来，纳斯达克指数用了20多年的时间，也只是从100多点增长到600点而已。(纳斯达克指数的异常攀升直接导致了另一个妇孺皆知、袭卷全球的问题，那就是互联网经济泡沫，因这并不在本文的探讨范围，暂且不提。)

　　在大量基于专用网络和互联网络的公司的业务推动下，电子商务的作用开始突显，并且在一系列的商业活动中得到验证。最为突出的，当属于一向被称为“互联网发动引擎”的思科网络公司(Cisco)，该公司成功地将所有的销售与定单签订都放在了网络中，并在过去的十年中为公司节约了几十亿美元的成本开支。

　　而另一些传统公司利用电子商务的成果更为丰硕。据资料显示，美国三大汽车制造商联合在网上进行采购，每年网上采购额近3000亿美元，由此节约的成本高达100亿美元。业内人士分析认为，以上估算还是相当保守的，通过电子商务至少可以为企业节约超过10%的成本。

　　目前，全球已有60多个国家就电子签名及其他电子商务活动进行了相关立法，而美国犹他州1995年出台的《电子签名法》则是全球最早的电子商务领域法律。

　　中国电子商务的开展相对较迟一些，1999年，广东省邮政厅与美国签署了一份网上意向性合同，涉及金额2亿多美元，这一合同被认为是中国电子商务的正式起源。但另一个显著的特点是，中国的电子商务活动增长相当迅速，“自电子商务在中国出现以后，每年的业务增长率平均维持在高达40%左右，有的省增长率更是超过50%甚至到100%。

　　电子商务的迅速发展，除了其在成本节约上的明显作用，更重要的是效率的提升。天威诚信电子商务服务有限公司是联想集团的电子签名系统提供商，该公司副总裁李延昭告诉记者，“效率的提升给联想集团带来的作用之明显，其价值之大，难以用简单的成本节约来评估。”他举例说，在未采用电子签名之前，联想庞大的MIS系统中，一份合同的生效需要通过接收传真、确认、盖章、回函(传真或EMS快递)，总耗时大概在两周左右，而采用电子签名系统之后，一份合同从提交到生效，整个过程可在半天内完成。

　　信任体系远未成型

　　使用习惯、CA权威性、网络环境，诸多问题仍然成为电子签章发展的巨大阻力，来自传统行业的看似守旧的观点，使我们看到企业用户面对《签名法》及电子签章时的谨慎又谨慎？

　　联想集团的电子签名，虽然能够迅速提升业务效率，并在成本节约上有所帮助，但是值得注意的是，在2005年4月1日前，包括联想集团在内的所有采用电子签名的公司，其电子签名只能被作为公司自身的一种业务模式，其约束也是一种自我约束，究其原因，在于电子签名尚未获得法律认可的效用。

　　记者探究整个电子签名产业发展，与各层面人士交流时，听到的最大声音是，一项法律的颁布并不等同于一个产业的蓬勃发展，却可以确保整个行业向着良性循环的方向前进。但另一方面，正是大量已经出现的处于“无法律保障下的电子签名”应用，促使政府及产业界都意识到需要并呼吁电子签名的法律保障环境，即一部《签名法》的尽早出台。

　　北京书生科技有限公司董事长王东临认为，“在《签名法》出台之前，乃至出台之后的一段时间内，电子签章作为电子签名的形式之一，使用上还远不规范。即使现在，《签名法》就要正式实施，但仍然没有针对电子签章的明确规范，例如法律并没有明确规定电子签章应该保有几个，分别用于什么情况等等。”他认为，电子签章应尽量采用与现实商务活动使用的三个图章相接近，即财务章、公章和合同章，以减少用户使用习惯变更太大而带来的应用落差，妨碍这一应用的发展。

　　相对于用户体验变更的不利，其他一些环节上的问题也许更为严峻，特别是作为这一产业链上关键环节的CA(Certificate Authority)认证机构的权威性、公信力，以及技术成熟度等问题，都已经成为电子签名是否能够获得企业用户认可的直接前提，特别是在《签名法》实施之后，如何确保采用的相关产品能够为自身带来成本节约和效率提升的同时，也规避掉互联网中有可能存在的多种风险，成为企业用户是否采用电子签名的最大矛盾和顾虑。

　　国内信用体系的缺失状态，加之《签名法》“意思自治”的主旨，将使大部分企业在面对电子签名时处于茫然不知所措的状态：一方面，具有领先意识的企业们已经看到采用电子签章所能带来的好处和有可能存在的危险。(注：《签名法》中使用“意思自治”的含义在于，不干涉企业继续选用现实签章或选择电子签章的自由。)

　　如何说服企业采用电子签名？如何让网络变得诚信？如何让用户信任CA技术？所有的问题放在一起，使刚刚生效的《签名法》显得有些苍白。

　　“在接下来相当长的一段时间内，市场培育工作显得尤为重要，同时市场培育一定要和应用结合在一起，例如网上银行、网上支付等已经拥有众多用户的应用，应该和这些业务结合起来，这对于市场培育和概念普及将其到事半功倍的作用。”王东临说。他认为，只有关注用户体验，使用户从物理世界的手写签名和盖章行为平稳、无缝地过渡到习惯并采用电子签名方式，才有可能在普及《签名法》的过程中获得好的效果。

　　但根据记者的调查，王东临所提到的这些问题，仍然无法让用户、特别是企业用户放心。“一旦除了问题，我们是否有这样的经验和精力去调查、取证，甚至对簿公堂？而这一切都因为我们提前依托于《签名法》，成为抢先吃‘电子签名’这个螃蟹的人？”北京凌度工业公司副总经理常敏锐在和记者通电话的过程中这样说，而他的观点，恰恰也是诸多传统行业公司最有可能持有的心态。

　　CA机构深陷困境

　　一方面是法律已经生效，另一方面是各种条件还不够完备，无论是等待兴盛，还是相互妥协，都无法使CA中心的权威性得到用户的认可，这一点已成为电子签章发展的最大障碍。

　　采访中，大部分接受采访者——特别是提供CA认证业务的公司领导人——都对如何使用电子签名做了详细的说明，尽管表述有所差异，但核心意思大致相同，即通过使用USB Key作为保存电子签章的方式。

　　“这和保存一个图章有什么不同？”常敏锐笑言作为个传统行业的人，他搞不懂IT人为什么要让事情变得复杂化。而在CA提供者们看来，这又是将复杂流程简单化、节约成本的最佳方式，更重要的，这一方式已经在全球兴盛，中国无法逃脱，接受只是迟早的事。

　　CA(Certificate Authority)中心，成为电子签章发展最为关键的因素，也成为《签名法》和《管理办法》贯彻的主要执行者，但定位的理解上，我们仍然可以观察到CA中心背后的一些理解误区。

　　天威诚信电子商务服务有限公司副总裁李延昭认为，“CA首先应该是一个责任中心、服务中心，那种将‘设立CA就可以赚钱、是权利虚拟化的拓展’的观点是偏颇的。要做成一个优秀的CA中心，首先要走出这一误区。”

　　他表示，对于当前中国的CA中心而言，更多的是要加强服务意识，加强自身防护的意识，而不是商业意识。“试想如果一个CA中心，连自身的安全都无法保障，又谈何保障用户的信息安全？”

　　李延昭所担心的这一问题，在业内的倾向还相当明显。据记者调查，虽然中国的电子商务市场远不能和欧美发达国家相比，甚至也不足以和日本、韩国、新加坡等互联网普及较进步的国家相比，但是中国的CA认证中心的数量已经相当之多。这其中不乏相当一部分将CA作为一种达到赢利的商业机会去对待的非理性思维的存在。

　　随着互联网快速渗透到社会的各个层面，各种企事业单位信息化进程的发展，如何建立一套权威、公正的第三方认证机构规范，以及建立一些真正能够做到无缝安全的CA认证中心及产品，将是通过互联网络进行电子签章的可信基础。“很现实的问题是，当前绝大多数的CA中心实施认证的策略构建亟待加强，从人员安全、物理安全，乃至信息安全，各个层面都有可能存在较大问题。例如离线备份、在线备份、电源冗余备份、双路冗余备份、应急系统、内部失窃、内部人员管理办法、背景调查、离职/异动处理、关键人物的冗余备份等。”李延昭分析道。

　　另一个重要的问题就是如何迅速建立起一批专业技术队伍，这也成为电子签章实施过程中需要跨越的障碍。“CA行业的专业技术人员太少了”，无论是专家还是正从事CA工作的公司领导人，都有类似于李延昭的焦虑：“我们公司的技术人员基本上只能依靠内部培养，一个稍微有能力的CA技术人员，整个培育、磨合时间至少要花费四年，如果CA认证产业要迅速发展，如何解决人员问题，也是相当棘手的一件事。”

　　李延昭期待随着《签名法》正式实施、越来越多的企业采用电子签名后，这个行业的人才能够随着产业发展增加起来，但另一方面，相互制约的人才与产业发展情况，将如何发展，现在谁也给不出具体的答案。

　　如果说人才的缺失还可以等待的话，那么不同CA认证中心由于利益问题而出现的证书版本、规范确立以及相互兼容等问题，则是一个更难以解决的问题。“软件开发商需要加强自身的规范性和适应其他规范的能力，兼容不同CA机构所颁发的数字证书是软件开发商必须面对的问题，而同时确保软件运行的安全性也相当重要。”某CA认证中心技术主管如此强调软件开发商的责任。但另外一面，如何确保CA认证中心的权威性，以达到让软件开发商自愿来适应的程度？显然，他还给不出相应的答案。既然一些大的国际性CA中心和微软之间的矛盾还时不时地出现，又何谈小的软件开发商和不具权威的CA认证中心之间的鱼水关系？

　　哪条大路通罗马？

　　对于电子签章管与不管？管到什么程度？国内CA如何走出国门？在《签名法》出台之后，我们看到的，不是问题的解决，而是更多问题的延续。

　　从政府理解角度出发，《签名法》的顺利出台，为电子签名提供了法律依据，而《管理办法》则为这个产业链中最重要的环节——CA认证——制定了可行规范。

　　信息产业部信息化推进司季金葵司长是主导《签名法》起草并在2005年3月16日信息产业部内部召开“一法一则”实施宣贯会上传达法律精神与要旨的政府官员，他向记者表示：“在《管理办法》起草阶段，就有人提出建议，要学习发达国家的经验，对认证机构的管理，该发挥市场引导和行业自律两方面入手，依靠市场竞争来达到提高认证服务质量和监督，政府不该介入过多。”

　　“当然也有另一种观点或者说建议，认为为确保电子认证机构以公正第三方的身份对电子签名活动提供真实可靠的认证服务，应当发挥政府的主导总用，加强政府部门对电子认证服务的监督管理。”季金葵说。

　　如果参照国际情形看，可以看到，电子认证机构市场准入有三种情况。一是对电子认证机构实行强制性许可制度，即从事电子认证业务必须经过主管机关批准，如马来西亚等国家；二是对电子认证机构实行非强制性许可制度，例如欧盟地区；三是对电子认证机构的设立不实行许可制度，完全依赖市场调节，通过行业自律予以规范，例如美国等国家。

　　季金葵认为：“为电子签名提供认证服务的电子认证机构，应当具备高度公信力，从我国实际情况看，对电子认证服务机构主要靠市场引导和行业自律的条件尚不具备，由政府部门实施适度监管是必要的，但是，政府不会限定全国认证机构的名额，可以依据《管理办法》的规定，结合信产部公布的相关条件自行申请。”

　　按照季金葵司长的表述，CA中心的设立更多将依据申请者的资质和技术能力，而在政府管制方面相对要放松一些。

　　但另一方面的问题是，在存在交叉认证的CA领域，如果发生纠纷之后，如何解决问题？尽管国际的管理是双方共同承担对等责任，“但是中国的CA机构在管理上尚且无序，和客户之间的资质很难达到平衡，交叉认证时资质不对等的CA怎样承担对等的责任呢？”李延昭对此疑问重重。一个简单的道理是，如果中国石化或者中国银行这样的“超级”企业，一旦发生安全性问题，任何国内CA中心都没有足够的“资本”和他们一道承担对等责任。

　　再者，即使国内CA认证通过了，又如何提供境外服务？相关的申请和审批如何与国内相衔接？无论是CA认证中心，还是采用CA认证的企业客户，都不会只甘心于将电子商务的圈就划在国内地域内。

　　“加入WTO的中国市场将是开放的，电子签名市场必定会遇到境外认证机构的冲击，但是需要看到的是，国外机构进入中国同样要面临各种困难，这和国内认证机构走出国门的道理是一样的，所以并不代表我们存在劣势。”季金葵说。

　　但是，对于具有国际业务的公司，以及国内的CA认证中心而言，如何寻求到一条真正能够树立权威性、能够带来实际商业机会并最终触发这个产业向着兴盛的方向前进？一切还在困惑之中。